Цифровая приватность

Выборы в контексте персональных данных

Проблематика правоотношений по сбору, хранению, обработке и передаче персональных данных становится в Казахстане все более актуальной.
Роман Реймер
Роман Реймер
6 мин на чтение
Выборы в контексте персональных данных

Содержание

Введение

Проблематика правоотношений по сбору, хранению, обработке и передаче персональных данных становится в Казахстане все более актуальной. Законодательство о персональных данных состоит из ряда профильных законов, массы ведомственных приказов и иных нормативных правовых актов.

Министерство цифрового развития, инноваций и аэрокосмической промышленности (МЦРИАП) практически ежегодно выступает с законодательными инициативами, призванными ужесточить ответственность, а также существенно увеличить объем обязанностей представителей гражданского сектора и бизнес структур при работе с персональными данными.

Ответственность за нарушение законодательства о персональных данных

За нарушение законодательства о персональных данных предусмотрена административная, а в ряде случае и уголовная ответственность, не говоря уже о компенсации материального и морального ущерба в рамках гражданского законодательства.

Административная и уголовная ответственность в основном связана со штрафами, которые являются в ряде случаев абсолютно разорительными для некоммерческих организаций и представителей малого бизнеса.

Ст. 79 Кодекса Республики Казахстан об административных правонарушениях (нарушение законодательства о персональных данных и их защите) предусматривает санкцию в виде штрафа в зависимости от степени нарушения и следующими за этим последствиями от 20 до 500 месячных расчетных показателей, что составляет 69 000 тенге или 1 725 000 тенге соответственно.

В свою очередь Уголовный Кодекс Республики Казахстан содержит ст. 147 (нарушение неприкосновенности частной жизни и законодательства Республики Казахстан о персональных данных и их защите), которая предусматривает помимо весьма внушительного штрафа до 3 000 или до 5 000 месячных расчетных показателей, а также в виде ограничения или даже лишения свободы в срок до 3-х лет. В числовом выражении штраф соответствует 10 350 000 тенге и 17 250 000 тенге соответственно.

В целом, государство всерьез намерено контролировать работу с персональными данными, которая ведется негосударственными акторами. Важно понимать, что само государство является первым и самым активным (с точки зрения количества и частоты сбора) оператором персональных данных граждан.

Практика показывает, что некоторые государственные органы в большей степени поверхностно относятся к законодательно регламентированным процедурам, относящимся ко всему спектру манипуляций с персональными данными граждан.

Сбор персональных данных избирательными участками

Правоприменительная практика, транслируемая всей полнотой иерархии избирательных комиссий во главе с Центральной избирательной комиссией во время электоральных циклов в стране, яркий тому пример.

В период внеочередных выборов Президента Республики Казахстан, состоявшихся 20 ноября 2022 года, наблюдатели ОФ «Еркіндік қанаты» обратили внимание на следующие обстоятельства, происходящие на территории участковых избирательных комиссий:

  • во время регистрации у наблюдателей, помимо удостоверения наблюдателя, что прямо закреплено в п. 1 ст. 20-1 Конституционного закона «О выборах в Республике Казахстан», запрашивались также удостоверения личности, которые копировались либо сканировались представителями участковых избирательных комиссий без какого бы то ни было законодательно регламентированного повода или предварительного согласия наблюдателей;
  • удостоверения личности некоторых наблюдателей и координаторов наблюдателей ОФ «Еркіндік қанаты» передавались по неким чатам избирательных комиссий и наблюдателей от ряда других организаций в мессенджерах.

Это происходило практически на всех избирательных участках на всей территории Республики Казахстан. Аналогичная ситуация происходила на внеочередных выборах депутатов Мажилиса Парламента и маслихатов Республики Казахстан, состоявшихся 19 марта 2023 года.

📄
Данное обстоятельство отражено в заявлении ОФ «Еркіндік қанаты» от 20 марта 2023 года.

В свою очередь, законодательная рамка подтверждения личности наблюдателя так и ознакомление с персональными данными последнего регламентировано п. 1 ст. 20-1 Конституционного Закона Республики Казахстан «О выборах в Республике Казахстан» (далее – Закон о выборах) и в теории должно выглядеть следующим образом.

«Полномочия наблюдателя должны быть удостоверены в письменной форме с указанием его фамилии, имени, отчества… Данный документ заверяется печатью организации, направившей наблюдателя, и действителен при предъявлении документа, удостоверяющего личность наблюдателя. Документы предъявляются председателю избирательной комиссии либо лицу, его замещающему, для регистрации наблюдателя путем внесения данных о нем в журнал учета».

Следует обратить особое внимание на то, что документы (в том числе и удостоверение личности) предъявляются для внесения данных в журнал, а не передаются для произведения манипуляций, связанный с ксерокопированием/сканированием.

Таким образом, персональные данные наблюдателей в виде ксеропирования/сканирования удостоверений личности собирались вне предусмотренной процедуры установленной Законом о выборах.

При этом п. 1 ст. 8 Закона Республики Казахстан «О персональных данных и их защите» (далее – Закон) предполагает, что субъект персональных данных (в конкретном случае наблюдатель) дает (отзывает) согласие на сбор, обработку персональных данных письменно… либо иным способом, позволяющим подтвердить получение согласия.

В данном случае, со стороны участковых избирательных комиссий у наблюдателей как письменная, так и иная другая форма согласия не собиралась. Тем не менее, ст. 9 Закона регламентирует случаи сбора, обработки персональных данных без согласия субъекта.

Однако при внимательном изучении вышеуказанной статьи, информации о том, что Центральная избирательная комиссия либо прочие избирательные комиссии имеют право осуществлять сбор, обработку персональных данных, не содержится.

Более того, Положение о Центральной избирательной комиссии, утвержденное Указом Президента № 3205 от 11 ноября 1996 года (далее – Положение) также не содержит никаких указаний на необходимость сбора и обработки персональных данных наблюдателей, как в целом, так и без согласия последних в частности.

Официальный сайт Центральной избирательной комиссии не содержит информации о разработанной политике приватности или иных документов, прямо или косвенно регламентирующих работу с персональными данными граждан.

В свою очередь, Положение регламентирует ответственность Центральной избирательной комиссии за организацию и подготовку выборов национального уровня, а также обеспечение соблюдение законности и единообразия правоприменительной практики.

Принимая во внимание все вышеуказанное, можно сделать следующие выводы:

  • процедура сбора и обработки персональных данных наблюдателей участковыми избирательными комиссиями была санкционирована Центральной избирательной комиссией;
  • сотни, а может и тысячи ксерокопий/сканированных удостоверений личности казахстанцев, которые могут и скорее всего будут использоваться не по назначению, храниться и передаваться третьим лицам без какого-либо контроля или ограничения.

Коммуникация с ЦИКом

ОФ «Еркіндік қанаты» 4 апреля 2023 года, обратился в Центральную избирательную комиссию за разъяснением ситуации связанной со сбором, хранением, обработкой и передачей персональных данных наблюдателей за выборами в стране, поставив следующие вопросы:

  1. Укажите пожалуйста, с какой целью у наблюдателей со стороны представителей участковых избирательных комиссий осуществляется сбор данных и/или копий удостоверений личности?
  2. Разработана ли со стороны ЦИК РК, соответствующих ТИК РК или отдельных УИК РК, инструкции, правила или иные документы, связанные со сбором, обработкой и хранением персональных данных участников избирательного процесса, включая наблюдателей за выборами?
  3. Каким образом со стороны ЦИК РК, соответствующих ТИК РК или отдельных УИК РК осуществляется процесс сбора, обработки и хранение, персональных данных участников избирательного процесса, включая наблюдателей за выборами?
  4. Каким образом со стороны ЦИК РК, соответствующих ТИК РК или отдельных УИК РК осуществляется процесс удаления полученных ранее персональных данных участников избирательного процесса, включая наблюдателей за выборами?
  5. Каким образом со стороны ЦИК РК, соответствующих ТИК РК или отдельных УИК РК обеспечиваются гарантии по недопущению передачи и/или использованию собранных персональных данных участников избирательного процесса, включая наблюдателей за выборами со стороны третьих лиц?
  6. Существует ли у ЦИК РК, разработанная политика по сбору хранению, обработке и передаче персональных данных?

На это Центральная избирательная комиссия подготовила ответ № ЗТ-2023-00556297 от 11 апреля 2023 года, не отвечающий по существу на заданные вопросы, но включающий в себя следующие тезисы:

  • в соответствии с п. 2 ст. 24 Закона Республики Казахстан «О персональных данных и их защите», субъект обязан представлять (но не предоставлять и не передавать для дальнейшего копирования и хранения, прим. автора) свои персональные данные в случаях, установленных законами Республики Казахстан;
  • Центризбиркомом утвержден перечень персональных данных, необходимый и достаточный для выполнения осуществляемых задач (Постановление от 7 апреля 2014 года № 7/230) (далее – Перечень);
Ответ ЦИК по персональным данным от 11.04.2023 года
Ответ ЦИК по персональным данным от 11.04.2023 года.pdf
2 MB
download-circle

Рассматривая ответ Центральной избирательной комиссии по существу, можно сделать следующие выводы:

  • действительно, согласно пп. 1 п. 2 ст. 25 Закона «Собственник и (или) оператор обязаны: утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач, если иное не предусмотрено законами Республики Казахстан». Данное обстоятельство отражено в Постановлении, которое устанавливает перечень из 17 персональных данных (куда также входят данные, удостоверяющие личность, но не само удостоверение личности прим. автора) достаточных для исполнения своих задач;
  • п. 5 Правил гласит, что «Документы, не подлежащие хранению по истечении установленного срока уничтожаются по форме согласно приложению к настоящим Правилам». В свою очередь, Правила не содержат никакой информации о необходимости хранения удостоверений личности.

Более того, само Постановление противоречит Постановлению Правительства Республики Казахстан от 12 ноября 2013 года «Об утверждении Правил определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач».

Данное Постановление от 2013 года устанавливает, что собственник или оператор базы персональных данных должен утвердить перечень персональных данных, необходимый и достаточный для выполнения осуществляемых задач, состоящий из следующих элементов:

  • номер;
  • наименование задачи, в том числе функций, полномочий, обязанностей;
  • цели сбора и обработки в рамках осуществляемой задачи;
  • наименование персональных данных для определенной цели;
  • указание на документы или нормативные правовые акты, имеющие прямые указания на осуществляемые собственником и (или) оператором задачи.

В свою очередь, Постановление № 11/236 от 2014 года содержит лишь часть, связанную с определением наименования персональных данных, без какой-либо конкретики, что безусловно является упущением со стороны Центральной избирательной комиссии, и как мы видим приводит к произвольному сбору и дальнейшему использованию персональных данных наблюдателей на избирательных участках.
Несмотря на то, что оператор обязан утверждать перечень необходимых для своей работы персональных данных, пп. 1-1 и пп. 3 п. 2 ст. 25 Закона обязывает оператора утверждать документы, определяющие политику оператора в отношении сбора, обработки и защиты персональных данных, а также соблюдать законодательство Республики Казахстан о персональных данных и их защите.

Заключение

Исходя из всего вышеизложенного, ситуация на избирательных участках в день голосования, связанная со сбором персональных наблюдателей, должна была исходить из следующей формулы:

«идентификация личности – запись данных в журнал – пропуск»

Не применяя в этой цепочке сканирование документов, удостоверяющих личность:

«идентификация личности – запись данных в журнал – сканирование документа – пропуск»

Таким образом:

  • ни Центральная избирательная комиссия, ни нижестоящие комиссии не подпадают под перечень операторов из числа государственных органов, которые могут собирать персональные данные без согласия субъекта;
  • сбор удостоверений личности наблюдателей через процедуру ксерокопирования/сканирования незаконен.

Подводя итог, следует важно отметить, что уполномоченным государственным органам, ответственным за соблюдение законодательства о персональных данных, обратить внимание на изложенную выше ситуацию, а Центральной избирательной комиссии следует приводить как свои нормативные правовые акты, так правоприменительную практику в полное соответствие с законодательством о персональных данных и не допускать незаконный сбор персональных данных наблюдателей.

Вам также может понравиться

Приватность в исламском праве

Приватность в исламском праве

Об особенностях исламского права и его источниках, а также о концепции защиты жилища и персональных данных в исламе.
Руслан Дайырбеков
4 мин на чтение 19-02-2024